Redaktora piezīme. Laiku pa laikam Complex-Discovery izceļ publiski pieejamus vai privāti iegādājamus paziņojumus, satura atjauninājumus un pētījumus no kibernoziegumu, datu un juridisko atklāšanas pakalpojumu sniedzējiem, pētniecības organizācijām un ComplexDiscovery kopienas dalībniekiem. Lai gan ComplexDiscovery regulāri izceļ šo informāciju, tā neuzņemas nekādu atbildību par satura apgalvojumiem.
Lai iesniegtu ieteikumus izskatīšanai un iekļaušanai Complex-Discovery kibernoziegumu, datu un juridisko atklājumu orientētu pakalpojumu, produktu vai pētniecības paziņojumos, sazinieties ar mums šodien.
Preses paziņojums*
CISA izlaidumu direktīva par zināmu izmantoto ievainojamību ievērojama riska samazināšanu
Nosaka prioritātes ievainojamības pārvaldībai un dod impulsu federālajām aģentūrām, lai uzlabotu ievainojamības pārvaldības praksi
Šodien [2021. gada 3. novembris] Kiberdrošības un infrastruktūras drošības aģentūra (CISA) izdeva saistošo darbības direktīvu (BOD) 22-01, kas samazina ievērojamu risku, ka zināmas izmantotās neaizsargātības, lai paātrinātu steidzamu un prioritāšu novēršanu ievainojamību, ko aktīvi izmanto pretinieki. Ar šo direktīvu izveido CISA pārvaldītu zināmu izmantoto ievainojamību katalogu un paredz, ka federālajām civilajām aģentūrām konkrētos termiņos jānovērš šādas ievainojamības.
CISA izdeva BOD 22-01 vadīt federālās aģentūras, lai mazinātu aktīvi izmanto ievainojamību savos tīklos, nosūtot skaidru ziņojumu visām organizācijām visā valstī, lai koncentrētos lāpīšanu apakškopu ievainojamību, kas rada kaitējumu tagad, un ļauj CISA vadīt nepārtrauktu prioritāti ievainojamību, pamatojoties uz mūsu izpratni par pretinieka darbību. Direktīva attiecas uz visu programmatūru un aparatūru, kas atrodama federālajās informācijas sistēmās, tostarp programmatūru, kas tiek pārvaldīta aģentūru telpās vai ko aģentūras vārdā rīko trešās personas. Ar šo direktīvu CISA izvirza pirmās valdības mēroga prasības, lai novērstu ievainojamību, kas ietekmē gan ar internetu vērstus, gan ar internetu nesaistītus aktīvus.
“Katru dienu mūsu pretinieki izmanto zināmas ievainojamības, lai mērķētu federālās aģentūras. Kā vadošo lomu federālās kiberdrošības jomā mēs izmantojam savas direktīvas pilnvaras, lai virzītu kiberdrošības centienus uz to īpašo ievainojamību mazināšanu, ko mēs zinām, ka tos aktīvi izmanto ļaunprātīgi kibernoziegumu dalībnieki,” sacīja CISA direktors Jen Easterly. “Direktīvā ir noteiktas skaidras prasības federālajām civilajām aģentūrām nekavējoties rīkoties, lai uzlabotu neaizsargātības pārvaldības praksi un ievērojami samazinātu to pakļaušanu kiberuzbrukumiem. Lai gan šī direktīva attiecas uz federālajām civilajām aģentūrām, mēs zinām, ka organizācijas visā valstī, tostarp kritiskās infrastruktūras vienības, ir mērķtiecīgas izmantot šīs pašas neaizsargātības. Tāpēc ir ļoti svarīgi, lai katra organizācija pieņemtu šo direktīvu un noteiktu prioritāti CISA publiskajā katalogā uzskaitīto ievainojamības mazināšanai.”
Tikai 2020. gadā konstatētās vairāk nekā 18 000 ievainojamības, publiskā un privātā sektora organizācijām ir grūti noteikt prioritāti ierobežotiem resursiem, lai novērstu ievainojamību, kas, visticamāk, radīs kaitīgu ielaušanos. Šī direktīva risina šo problēmu, veicinot to ievainojamību mazināšanu, kuras aktīvi izmanto, lai apdraudētu federālās aģentūras un Amerikas uzņēmumus, balstoties uz esošajām metodēm, ko mūsdienās plaši izmanto, lai noteiktu prioritāti neaizsargātības daudzās organizācijās.
Tomēr šī direktīva attiecas uz federālajām civilajām aģentūrām CISA stingri iesaka privātajiem uzņēmumiem un valsts, vietējām, cilšu un teritoriālajām (SLTT) valdībām noteikt prioritāti CISA publiskajā katalogā uzskaitīto ievainojamību mazināšanai un reģistrēties, lai saņemtu paziņojumus, kad tiek pievienotas jaunas ievainojamības .
Jaunā direktīva un ar to saistītā faktu lapa atrodama saistošajā operatīvajā direktīvā (BOD) 22-01.
Par CISA
Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir Nācijas riska konsultants, sadarbojoties ar partneriem, lai aizstāvētu pret šodienas draudiem un sadarbotos, lai nākotnē izveidotu drošāku un elastīgāku infrastruktūru.
Izlasiet sākotnējo paziņojumu.
Pilnīga faktu lapa: Zināmo izmantoto ievainojamību nozīmīgā riska samazināšana (PDF) - Mouseover lai ritinātu
Zināmo izmantoto ievainojamību nozīmīgā riska samazināšana 211103
*Koplietots ar atļauju.
Papildu lasīšana
Ekonomiska ietekme? Kā kiberapdrošināšanas formas incidentu reaģēšana
Cyber Discovery definēšana? A Definīcija un satvars
Avots: Complex-Dis